Come rubare l’account Gmail degli altri….

Aza Raskin ha segnalato un nuovo modo di far phishing per rubare account agli utenti web. Il metodo si basa su una sostituzione silente della pagina che si sta navigando con la pagina fake di autenticazione ad un determinato servizio.

Ma come funziona nello specifico questo tipo di attacco? Facciamo un esempio: supponiamo di volere attaccare un utente per sottrargli l’account di Gmail:

  1. Un utente naviga normalmente su un sito
  2. Il sito è predispoto a controllare quando la pagina perde il fuoco e rimane inattiva per un po’ di tempo
  3. Proprio in quella precisa situazione si rimpiazza la favicon con quella di Gmail, si cambia il titolo con “Gmail: Email da Google” e l’intera pagina viene sostituita con la pagina fake di autenticazione di Gmail. Tutto questo può essere fatto con un po’ di javascript che modifica i vari oggetti della pagina al volo.
  4. Quando l’utente scorre la lista dei tab aperti, la nuova favicon e il titolo della pagina possono far cadere nel tranello l’utente che potrebbe pensare di aver lasciato la finestra di Gmail aperta. Cliccando allora su quel tab, vedendo la schermata di Gmail a lui familiare potrebbe non preoccuparsi di controllare l’indirizzo. Pensando allora di essere stato sloggato per qualche motivo da Gmail potrebbe riautenticarsi nuovamente. L’attacco sfrutta l’idea che gli utenti credono nell‘immutabilità dei tab.
  5. Dopo che l’utente ha inserito i dati di autenticazione, questi possono essere inviati sui vostri server o via email. L’utente può essere poi rediretto a Gmail e poichè non è mai uscito, gli apparirà la lista delle sue email e sembrerà che il login sia avvenuto con successo.

Questo tipo di attacco viene denominato “tabnabbing“.

Per vedere un esempio funzionate andate sulla pagina di Aza Raskin, poi aprite un nuovo tab e aspettate qualche secondo. Il primo tab cambierà aspetto per diventare il fake di Gmail. L’autore ha messo anche a disposizione il javascript da provare.

32 commenti

  • anche dietro pagamento ho assoluto bisogno di scoprire una password gmail è urgentissimo!

  • Io Vorrei Rubare La Password Di Gmail E Non So Come Fare…Vi Prego Aiutatemi!!!!è Urgente!!!Mi Serve Adesso…

  • pago per scoprire la password di un account facbook!! contatattemi seriamente no perditempo

  • anche io sono a chiedere se è possibile , trovare una persona che mi troverebbe una psw di g-mail
    ovviamente pagando €

    • stesso problema, se l’hai risolto, mi potresti aiutare ???

  • ho bisogno di recuperare una password di facebook o gmail…offro ricompensa

  • Pago persona capace di rubare una password di facebook. Contatratemi.

  • pagatemi vi trovo io la PSW .. Faceook – Gmail—

    • Buongiorno. Ho bisogno del tuo aiuto per ottenere urgentemente una password di gmail,conosco l’account ma non ho la possibilità di usare il pc della persona in questione.
      Logicamente dietro compenso.
      Grazie in anticipo.

      • hai trovato qualcuno di serio che ci sia riuscito?

    • Pago persona disposta a trovare psw gmail

    • pago per recuperare una pass gmail

    • lo faresti davvero? sono interessato. contattami all’indirizzo mail
      se farai ciò che dici verrai ricompensato

    • Ti pago se mi
      Aiuti

    • Contattatemi pago persona capace di trovare psw fb!

    • aiutatemi….offro ricompenza per chi mi aiuta

    • come posso contattarti? mi serve veramente tanto scoprire una password ma fino ad ora ho trovato solo persone false e disoneste che mi hanno presa in giro e rubato i soldi

    • Mi.serve scoprire una.pssw,.non.posso accedere al.pc però. Chi pensa di riuscire.mi.contatti,.pago ovviamente!!!! Graziee!

  • Pago per trovare password facebook e password alicemail!!!!!!!!!!!!!!!

  • devo andare a vedere la posta di mia moglie come devo fare ‘?

  • Non si rubano le password. A voi piacerebbe se rubassero la vostra?

  • Pago persona capace di trovare l’account di gmail di un altra persona ,
    importante : SONO GIA’ IN POSSESSO DELLA PSW ma non conosco l’indirizzo email

    Contattarmi il prima possibile

  • Pago persona capace di trovare l’account e la password di gmail di un altra persona.

    Contattarmi il prima possibile

  • so che ci sono tipi di programmi che funzionano per il recuper di password, ma ho un grosso problema, più complicato. funzionano quando la password è dispersa nella memoria del tuo pc. sto scrivendo dal contatto email di mia sorella. io ho un solo contatto di posta elettronica, ma il mio pc si è fuso, è completamente andato e non ho potuto far altro che prenderne uno nuovo. appena mi connetto cerco di accedervi, ma non riesco a ritrovare la password che stava dato che quella che utilizzo non la riconosce, e non riesco neanche a cambiarla. ho paura che qualcuno si sia impossessato del mio contatto
    come potrei scoprire qual è la password per poi accedere e finalmente riuscire a riappropriarmi di dati che mi servono e a impostare una nuova password? è mooooolto urgente!
    se avete dei suggerimenti provate a

  • SERIO! per ricerca prove per separazione con addebito. ho account/indirizzo mail gmail chi sa risalire alla password
    i’m looking for someone who can crack a e-mail password for me.
    pagamento e serietà.
    € $ for this work
    contact me at

  • Pago persona capace di trovare l’account e la password di gmail di un altra persona.

  • Pago persona capace di trovare l’account e la password di gmail di un utente

  • Non ho capito assolutamente niente di come poterci riuscire…vi prego qualcuno potrebbe aiutarmi? E’ veramente importante!!! Grazie.

  • Si ok se un utente è poco attento ci puo cadere…
    Ma se volessi trovare la pass di qualcuno come faccio a fargli arrivare il javascript per poter avere la sua pass??
    considerando che non abitiamo vicini e non ho accesso al propio pc grazie dell’attenzione

    • ciao hai scoperto come si fa ad inviare quel javascript?

  • [...] Come rubare l’account Gmail degli altri…. [...]

  • Sofisticato, ma non perfetto. Un utente poco attento è possibile che ci caschi, altrimenti sono molte le cose che ti fanno insospettire.

Unisciti alla discussione

Potresti usare questi HTML tag e attributi: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ricevi un avviso se ci sono nuovi commenti. Oppure iscriviti senza commentare.